Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act).[70] HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.
Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».
Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и неизвестных угроз требуют большего, чем благие намерения руководства, — они требуют решимости, финансирования, активности и людей, которые бы понимали, что такое безопасность, и принимали правильные решения.
Многие виды денежного вознаграждения руководителей связываются с выполнением ими деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что могут сделать для повышения безопасности отраслевые стандарты и как они должны внедряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасности. Мы на войне — враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство не приняло достаточных мер по защите вашей компании или не принимало их вообще.
Глава 12
Прогулка хакера по сети
Просить сетевого администратора обеспечить безопасность сети, когда он не имеет возможности контролировать ее работу, — это то же самое, как просить механика починить двигатель, не открывая капот машины.
Маркус Ранум, основатель Network Flight RecorderПредставьте себе, что вы в составе совета директоров замечательной компании, входящей в список Fortune 500. (Неплохая мечта, не так ли?) Утром в понедельник вы зашли в любимое кафе и приступили к просмотру утренних газет, наслаждаясь первой на этой неделе чашкой ароматного кофе. Но подождите. Читая приятную заметку, предлагающую провести отпуск на французской Ривьере, вы видите броский заголовок: «Фирма из Fortune 500 разорена хакером!» Увы, это не какая-то другая фирма из Fortune 500, а именно ваша!
Статья сообщает, что ваша компания была вынуждена отключить свою интранет от внешнего доступа в попытке прекратить вредительство хакера в отношении продуктов нового ряда. Еще пять минут назад вы неторопливо подсчитывали в уме, сколько вам нужно продать ваших акций, чтобы обеспечить себе веселый отпуск. Теперь вам приходится думать о том, на сколько ваши акции упадут в цене (не сомневаясь в этом!) после того, как лидеры рынка закончат просматривать заголовки газет. Более того, вы опасаетесь, не были ли украдены или уничтожены программы для продуктов нового ряда. Переживет ли это компания? А может быть, вам придется провести этот отпуск, обновляя свое резюме?
Звучит немного неправдоподобно? Вовсе нет. Информационные системы непрерывно кто-то атакует. Вторгаются внутренние пользователи и внешние пользователи, вторгаются конкуренты, террористы — можно встретить кого угодно. Подобное же разнообразие наблюдается и в механизмах атак. В исследовании CSI в 2002 году было обнаружено, что целями атак могут быть «отказ от обслуживания», имитация законных пользователей (spoofing), информационное вредительство и кража информации. Компании подвергаются нападению со всех сторон: внешние нарушители, внутренние нарушители и несколько промежуточных типов нарушителей: бывшие консультанты, обиженные служащие и т. д.
Для вас занятно знакомиться со статистическими данными, потому что они всегда касаются проблем, возникающих в чужих сетях. Однако и ваша сеть уязвима ничуть не меньше. Если в вашей сети нет надлежащих механизмов предотвращения и обнаружения взлома и контроля систем, то вполне вероятно, что вы уже сейчас подвергаетесь атаке и не знаете об этом.
Я добавила к книге эту главу для того, чтобы показать, какому риску подвергается информация после того, как хакер вошел только в одну систему сети компании. В главе не говорится о том, как производится сам взлом компьютерных систем. К сожалению, уже существует более чем достаточно источников, из которых можно эту информацию получить. В главе показано, как хакер проходит по сети в поиске информации после того, как он уже зашел в сеть. Также показано, как он находит доступ к другим системам и как собирает пароли.
Краткая характеристика хакеров
Многие люди все еще имеют странные представления о хакерах. Типичный хакер, по их мнению, — это молодой, необычайно яркий и патологически асоциальный мужчина. Часто он одержим манией — работает всю ночь над своими новейшими блестящими инструментами. Кончено, чтобы подчеркнуть его одержимость, к этому добавляют непрерывное курение, питание всухомятку и поддержание сил сомнительными медицинскими препаратами.
Вернитесь в действительность! Подлинный хакер, скорее всего, окажется разочаровавшимся бухгалтером, мелким бюрократом или недавно уволенным оператором ввода данных. Несмотря на наличие у него технических познаний, его, возможно, выгнали из средней школы. В противоположность распространенному мифу о его яркой личности правдой является то, что стать хакером не так уж трудно. Мы все наслышаны о детях, взламывавших компьютеры в 1970-х годах. Но кто слышал о том, что кто-то из них поступил в Гарвард или Массачусетский технологический институт?
Кстати, мы забыли об ужасно обиженных программистах, борющихся с огромной несправедливостью внутри компании. Этот голливудский образ хакера порядком надоел и имеет мало общего с реальностью. Часто реальная жизнь оказывается не такой захватывающей.
Реальные хакеры
Теперь, когда вы знаете, как не должен выглядеть хакер, вам должно быть любопытно, как он должен выглядеть. На самом деле большинство хакеров выглядит совсем как вы или я или женщина из соседнего офиса.
Только для краткого знакомства рассмотрим наиболее распространенные типы хакеров.
Неуловимый хакер № 1: Рассерженный сотрудник
Такого хакера трудно поймать, и такой тип наиболее распространен. Возможно, он работал в вашей компании недолго, а может быть, и несколько лет. Также вероятно, что его недавно уволили или понизили в должности. Его техническая квалификация может колебаться от простого ввода данных до системного анализа. Он мог оставить «черный ход» в систему, с которой недавно работал. Или же он просто имеет легкий доступ к вашей сети из-за того, что его работа заключалась в обновлении и поддержке информации ограниченного пользования. В любом случае у вас, возможно, не будет никаких причин его подозревать.
Неуловимый хакер № 2: Промышленный шпион
В отличие от голливудского образа, большинство шпионов не выглядят в действительности как Джеймс Бонд. Скорее всего, они похожи на бухгалтера, работающего у вашего отца, или на президента вашей местной торговой палаты. Хакер этого типа имеет глубочайшие познания в вашей отрасли. Он может работать на конкурирующую компанию — или даже на конкурирующую страну. (Многие промышленные шпионы работают с молчаливого одобрения своих правительств. Некоторые из них даже находятся на службе у таких правительств.) Он может также быть одним из ваших сотрудников, замышляющим «пересесть на другой корабль» или ожидающим массового увольнения. Может быть, он за счет этого пытается «поднять свою рыночную цену» перед тем, как перейти на эту призрачную должность.
Неуловимый хакер № 3: Одинокий «социопат»
Таких не так уж много. Такой тип хакера наиболее близок к вашим представлениям. Он молод, ярок и, вероятнее всего, является либо студентом, либо недавним выпускником, еще не нашедшим направления своей деятельности. Однако на такого хакера вы, скорее всего, не наткнетесь в потемках вашей базы данных.